Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Luca Stivali : 3 Novembre 2025 07:13
Negli ultimi giorni il presunto data leak di Ernst & Young (EY) è diventato uno dei temi più discussi nel panorama della cybersecurity internazionale.
Ho deciso di ricostruire la vicenda passo dopo passo, partendo dalle evidenze tecniche condivise da Recorded Future e dall’analisi di Neo Security, per capire non solo come è avvenuta l’esposizione, ma anche cosa può insegnarci sul controllo degli asset digitali in ambienti cloud complessi come quelli di EY.
Il file, in formato .BAK, era raggiungibile senza autenticazione e potrebbe aver contenuto informazioni sensibili, come chiavi API, credenziali di servizio e token di autenticazione.
 Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀
Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮.
Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Recentemente si sono verificati episodi di blocchi riguardanti AWS e Microsoft Azure, a causa di configurazioni di accesso errate. Questi eventi fanno apparire il cloud come una fortezza fragile, che può essere compromessa da un semplice guasto o da una configurazione scorretta.
L’episodio, pur essendo stato risolto rapidamente e senza evidenze di accessi malevoli, apre interrogativi sulla sicurezza post-acquisizione e sulla gestione della superficie d’attacco cloud.
Come spiegato nel post ufficiale di Neo Security e nel report di Recorded Future, la scoperta è avvenuta durante un’operazione di attack surface mapping finalizzata a mappare le esposizioni pubbliche di grandi organizzazioni internazionali.
Durante la scansione, il team ha individuato un file .BAK accessibile senza autenticazione e ha eseguito una HEAD request, una richiesta HTTP che consente di leggere solo le intestazioni del file senza scaricarlo.
La risposta — HTTP 200 OK con un Content-Length di circa 4 TB — è bastata per capire che si trattava di un backup di dimensioni imponenti, potenzialmente contenente dati interni di grande valore.
Attraverso un’analisi dei metadati DNS e SOA, il bucket è stato collegato al dominio ey.com, riconducendolo all’infrastruttura EY.
In seguito, i ricercatori hanno identificato il file come un backup completo di Microsoft SQL Server, comprensivo non solo dello schema e dei dati applicativi, ma anche di possibili credenziali, chiavi API, token OAuth e password di servizio.
Neo Security descrive il proprio lavoro non come una semplice attività di scanning, ma come una vera e propria “cartografia digitale del rischio”, volta a individuare ciò che spesso le organizzazioni stesse ignorano di possedere.
Durante questa mappatura, il team ha rilevato l’anomalia su Azure e, attraverso una serie di richieste HTTP passive, ha confermato che il bucket era pubblicamente accessibile e conteneva un file di backup di circa 4 TB.
Secondo i ricercatori, la causa risiede in una ACL (Access Control List) configurata in modo errato: probabilmente un processo di backup automatizzato impostato su public per effetto di impostazioni di default troppo permissive.
Dopo la segnalazione, EY ha reagito con prontezza, chiudendo l’esposizione entro circa una settimana e collaborando con Neo Security nella fase di triage.
Pur non essendoci prove di un’esfiltrazione, il team sottolinea che i dati “potrebbero essere stati visibili a più soggetti durante la finestra temporale”, data la presenza costante di scanner automatici nel cyberspazio.
Nel suo articolo, Neo Security amplia la riflessione con un esempio concreto che rende perfettamente l’idea di cosa accade quando un asset cloud diventa pubblico anche solo per pochi minuti.
L’autore racconta di un precedente incident fintech, in cui un ingegnere aveva accidentalmente impostato come pubblico un bucket Amazon S3 e poi, dopo appena cinque minuti, aveva corretto l’errore convinto di essere al sicuro.
Non lo era affatto. In quei pochi minuti, l’intero database — con dati personali, credenziali e segreti aziendali — era già stato intercettato e copiato.
“Gli attaccanti non scansionano casualmente. Dispiegano migliaia di scanner automatizzati in ogni angolo di Internet.
Dispositivi IoT compromessi? Botnet. Router domestici violati? Botnet. Istanze cloud bucate? Botnet.”
(Neo Security, “The 4 TB Time Bomb”)
Queste reti di scanner distribuiti non “navigano” come utenti umani: setacciano costantemente l’intero spazio IPv4 — oltre 4,3 miliardi di indirizzi — in pochi minuti, sfruttando un’infrastruttura massicciamente parallela e ottimizzata per un solo scopo: trovare dati esposti.
È una sorta di “corsa all’oro automatizzata”, in cui ogni secondo conta. Ogni nuovo bucket S3, blob Azure o storage GCS configurato male diventa immediatamente bersaglio di migliaia di richieste simultanee.
Il tempo che separa lo stato misconfigured da exfiltrated non si misura più in ore o minuti, ma in secondi.
Nel caso citato da Neo Security, l’azienda vittima aveva registrato un picco anomalo del 400% sul traffico del sito web proprio in quei cinque minuti di esposizione: non erano utenti, ma bot automatizzati che scandagliavano ogni endpoint, alla ricerca di altri varchi.
Pochi minuti dopo, il database era già nei circuiti underground e l’azienda, schiacciata dal danno reputazionale e dai costi legali, non si è mai ripresa.
Questo esempio non serve a drammatizzare, ma a chiarire un punto fondamentale:
in un mondo dove le botnet scandagliano in tempo reale l’intera Internet, non esiste “errore temporaneo”. Anche un’esposizione di pochi istanti basta perché i dati vengano individuati, copiati e diffusi.
A seguito della divulgazione, EY ha diffuso una nota ufficiale:
“Several months ago, EY became aware of a potential data exposure and immediately remediated the issue. No client information, personal data, or confidential EY data has been impacted. The issue was localised to an entity that was acquired by EY Italy and was unconnected to EY global cloud and technology systems.”
La società precisa che l’incidente non avrebbe coinvolto la rete globale, ma una entità acquisita da EY Italia, separata dall’infrastruttura centrale del gruppo.
La dichiarazione di EY ha un tono rassicurante, ma mette in luce un punto critico spesso sottovalutato: la gestione della sicurezza nelle entità acquisite.
Ogni acquisizione porta con sé infrastrutture, procedure e talvolta vulnerabilità ereditate. Se questi ambienti non vengono integrati e sottoposti agli stessi standard globali, possono trasformarsi in punti ciechi nel perimetro di sicurezza.
Nel caso EY, non si tratta di un attacco sofisticato, bensì di un errore di configurazione in un ambiente ereditato. Tuttavia, in un contesto globale e distribuito, un singolo bucket dimenticato può generare un impatto reputazionale enorme — anche senza una violazione effettiva dei dati.
Nel suo commento finale, l’analista del team CTI di Recorded Future ricorda che, considerato il ruolo di EY nella gestione di audit, finanza e M&A, un’esposizione di questo tipo — se sfruttata — avrebbe potuto avere conseguenze regolatorie, operative e reputazionali.
L’azienda raccomanda di:
Il caso EY dimostra che oggi la sicurezza nel cloud non dipende solo da firewall o crittografia, ma dalla consapevolezza completa degli asset digitali. Un singolo bucket mal configurato può trasformarsi in una bomba da 4 terabyte, pronta a esplodere sulla reputazione di un colosso globale.
Che l’origine sia una società acquisita in Italia o un processo di backup automatizzato, l’insegnamento resta lo stesso:
“You can’t defend what you don’t know you own.”
Non puoi difendere ciò che non sai di possedere — una frase che riassume perfettamente il cuore della sicurezza cloud moderna.
Fonti:
Luca StivaliUn nuovo allarme arriva dal sottobosco del cybercrime arriva poche ore fa. A segnalarlo l’azienda ParagonSec, società specializzata nel monitoraggio delle attività delle cyber gang e dei marketpla...
Cisco Talos ha identificato una nuova campagna ransomware chiamata DeadLock: gli aggressori sfruttano un driver antivirus Baidu vulnerabile (CVE-2024-51324) per disabilitare i sistemi EDR tramite la t...
Quanto avevamo scritto nell’articolo “Codice Patriottico: da DDoSia e NoName057(16) al CISM, l’algoritmo che plasma la gioventù per Putin” su Red Hot Cyber il 23 luglio scorso trova oggi pien...
Notepad++ è spesso preso di mira da malintenzionati perché il software è popolare e ampiamente utilizzato. Una vulnerabilità recentemente scoperta nell’editor di testo e codice open source Notep...
Una vulnerabilità critica associata all’esecuzione di codice remoto (RCE) in Outlook è stata sanata da Microsoft, potenzialmente consentendo a malintenzionati di attivare codice dannoso su sistemi...
